 |
| Bellacosa Mainframe apresenta o SAF Parte V |
☕💥 A Jornada do Sysprog Padawan – Parte 5
SAF – Troubleshooting, IPCS, ICH408I, RC=8, Dumps, SMF80 e Como Encontrar o Verdadeiro Culpado às 3h da Manhã
O Guia de Sobrevivência do Guardião do Reino IBM Z
"No Reino IBM Z existem dois tipos de problemas de segurança: os que parecem ser do RACF e os que realmente são do RACF."
Bellacosa Mainframe
Introdução
Nas partes anteriores aprendemos:
✓ O que é SAF
✓ Anatomia interna
✓ VERIFY
✓ AUTH
✓ FASTAUTH
✓ Performance
✓ ACEE
✓ Escalabilidade
Agora chegamos ao momento que todo Sysprog eventualmente enfrenta.
Produção caiu.
Telefone toca.
03:17.
Alguém grita:
O RACF está quebrado!
O Sysprog experiente faz uma pergunta simples.
Tem certeza?
O princípio Bellacosa
Antes de culpar o RACF.
Pergunte.
Quem chamou?
Quem respondeu?
Quem registrou?
Quem criou o ACEE?
Quem negou?
Quem fez VERIFY?
Quem fez FASTAUTH?
Normalmente.
A resposta.
Está.
No SAF.
Sintomas clássicos
RC=8
Mais famoso.
Acesso.
Negado.
ICH408I
Mensagem clássica.
RC=12
Erro.
RC=16
Falha.
Severa.
MQRC 2035
MQ.
SQLCODE -551
DB2.
NOT AUTHORIZED
CICS.
Permission denied
USS.
Ferramentas do Sysprog Jedi
IPCS
Sabre de luz.
SMF80
Livro de ocorrências.
zSecure
Radar.
SDSF
Central.
Operacional.
RACF Commands
Cartório.
Caso 1
ICH408I
A rainha.
Das mensagens.
Exemplo.
ICH408I USER(VBELLACO)
GROUP(SYS1)
NAME(VAGNER)
DATASET PROD.DB2.MASTER
CL(DATASET)
ACCESS INTENT(READ)
ACCESS ALLOWED(NONE)
Tradução.
Usuário.
Tentou.
Ler.
RACF.
Negou.
Perguntas Bellacosa
Classe ativa?
Perfil existe?
Grupo correto?
ACEE atualizado?
FASTAUTH.
Cache velho?
Comandos úteis
RLIST DATASET PROD.DB2.MASTER ALL
SEARCH CLASS(DATASET)
SETROPTS LIST
Caso 2
RC=8
Não autorizado.
Exemplo.
MQOPEN.
Fluxo.
MQ
↓
FASTAUTH
↓
SAF
↓
MQADMIN
↓
RC=8
Possíveis causas.
Perfil.
Ausente.
Permissão.
Removida.
Grupo.
Errado.
Caso 3
DB2
SQLCODE.
-551
Usuário.
Não autorizado.
Tabela.
Plano.
Package.
Classe.
DSNR.
Diagnóstico
RLIST DSNR
Caso 4
CICS
Usuário.
Executa.
PAY1.
Resposta.
NOT AUTHORIZED
Perfil.
TCICSTRN.
Classe.
Ativa?
Permissão?
Existe?
Caso 5
USS
SSH.
Falha.
Mensagem.
Permission denied
Pode ser.
UID.
HOME.
Shell.
OMVS.
Certificado.
MFA.
Diagnóstico
LU USERID
Verificar.
OMVS.
UID.
HOME.
PROGRAM.
Caso 6
Started Tasks
DB2P.
Não sobe.
MQM1.
Não sobe.
CICSPRD.
Falha.
Verificar.
STARTED.
Classe.
Exemplo.
RLIST STARTED MQM1 ALL
Caso 7
FASTAUTH
Curioso.
Às vezes.
O problema.
Não está.
No RACF.
Está.
No contexto.
ACEE.
Desatualizado.
Token.
Expirado.
Sessão.
Antiga.
Como investigar?
SMF80
Nosso.
Melhor.
Amigo.
Registra.
VERIFY.
AUTH.
Falhas.
Revogações.
Certificados.
MFA.
O que procurar?
RC.
RSN.
Timestamp.
Classe.
Perfil.
Userid.
LPAR.
Jobname.
zSecure
Facilita.
Muito.
Relatórios.
Compliance.
Diferenças.
Pesquisa.
IPCS
O sabre.
Do Jedi.
Dump.
↓
TCB.
↓
ASCB.
↓
ACEE.
↓
Flags.
↓
UID.
↓
Groups.
O segredo do dump
Dump.
Nunca.
Mente.
Pessoas.
Mentem.
Aplicações.
Mentem.
Logs.
Confundem.
Dump.
Conta.
A verdade.
O caso das 3h17
Banco.
Parado.
PIX.
Parado.
Equipe.
DB2.
Culpa.
RACF.
Equipe.
Segurança.
Culpa.
MQ.
Equipe.
MQ.
Culpa.
USS.
Sysprog.
Abre.
IPCS.
Verifica.
ACEE.
Descobre.
Grupo.
Removido.
03:29.
Sistema.
Volta.
Café.
Frio.
Produção.
Salva.
Checklist Bellacosa
Verificar
SMF80
ICH408I
RLIST
SEARCH
STARTED
TCICSTRN
DSNR
MQADMIN
OPERCMDS
SURROGAT
UNIXPRIV
ACEE
FASTAUTH
IPCS
Easter Egg Bellacosa ☕
Existe.
Um momento.
Na carreira.
Em que.
Você abre.
Um dump.
Segue.
PSA
↓
TCB
↓
ASCB
↓
ASXB
↓
ACEE
E pensa.
Acho que finalmente comecei a conversar com o Reino IBM Z.
Como impressionar um Security Architect
Diga.
RC=8 raramente é a causa raiz.
É apenas.
O sintoma.
Precisamos entender.
Quem chamou.
Quem respondeu.
Qual classe.
Qual perfil.
Qual ACEE.
Qual FASTAUTH.
Qual SMF.
E qual contexto.
Foi utilizado.
Provavelmente.
A conversa.
Mudará.
De nível.
Frase Bellacosa Mainframe
"O desenvolvedor procura mensagens. O administrador procura permissões. O Security Analyst procura auditoria. Mas o Sysprog Jedi conversa com o SAF até que ele conte exatamente por que decidiu abrir ou fechar uma porta do Reino IBM Z."
